論文の概要: $L_p$-norm Distortion-Efficient Adversarial Attack

• arxiv url: http://arxiv.org/abs/2407.03115v1
• Date: Wed, 3 Jul 2024 14:00:33 GMT
• ステータス: 処理完了
• システム内更新日: 2024-07-04 14:06:19.739767
• Title: $L_p$-norm Distortion-Efficient Adversarial Attack
• Title（参考訳）: $L_p$-norm歪曲効率の良い逆攻撃
• Authors: Chao Zhou, Yuan-Gen Wang, Zi-jia Wang, Xiangui Kang,
• Abstract要約: 現在の攻撃法は、$L$-norm、$L$-norm、$L_infty$-normの歪みの1つしか考慮していない。 我々は、最小の$L$-normを所有するだけでなく、$L_infty$-normの歪みを著しく低減する、新しい$L_p$-norm歪み効率逆攻撃を提案する。
• 参考スコア（独自算出の注目度）: 13.03797700146213
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Adversarial examples have shown a powerful ability to make a well-trained model misclassified. Current mainstream adversarial attack methods only consider one of the distortions among $L_0$-norm, $L_2$-norm, and $L_\infty$-norm. $L_0$-norm based methods cause large modification on a single pixel, resulting in naked-eye visible detection, while $L_2$-norm and $L_\infty$-norm based methods suffer from weak robustness against adversarial defense since they always diffuse tiny perturbations to all pixels. A more realistic adversarial perturbation should be sparse and imperceptible. In this paper, we propose a novel $L_p$-norm distortion-efficient adversarial attack, which not only owns the least $L_2$-norm loss but also significantly reduces the $L_0$-norm distortion. To this aim, we design a new optimization scheme, which first optimizes an initial adversarial perturbation under $L_2$-norm constraint, and then constructs a dimension unimportance matrix for the initial perturbation. Such a dimension unimportance matrix can indicate the adversarial unimportance of each dimension of the initial perturbation. Furthermore, we introduce a new concept of adversarial threshold for the dimension unimportance matrix. The dimensions of the initial perturbation whose unimportance is higher than the threshold will be all set to zero, greatly decreasing the $L_0$-norm distortion. Experimental results on three benchmark datasets show that under the same query budget, the adversarial examples generated by our method have lower $L_0$-norm and $L_2$-norm distortion than the state-of-the-art. Especially for the MNIST dataset, our attack reduces 8.1$\%$ $L_2$-norm distortion meanwhile remaining 47$\%$ pixels unattacked. This demonstrates the superiority of the proposed method over its competitors in terms of adversarial robustness and visual imperceptibility.
• Abstract（参考訳）: 敵対的な例は、よく訓練されたモデルを誤分類する強力な能力を示している。 現在の主流の敵攻撃法は、$L_0$-norm、$L_2$-norm、$L_\infty$-normの歪みの1つしか考慮していない。 L_2$-normと$L_\infty$-normベースのメソッドは、常にすべてのピクセルに小さな摂動を拡散するため、敵防御に対する弱い頑丈さに悩まされる。 より現実的な逆境の摂動は、まばらで受け入れがたいものである。 本稿では,最小の$L_2$-norm損失を保有するだけでなく,$L_0$-norm歪みを著しく低減する,新しい$L_p$-norm歪み効率の対向攻撃を提案する。 この目的のために,まず最初に$L_2$-norm制約の下で最初の対向摂動を最適化し,次に初期摂動の次元非重要行列を構成する新しい最適化手法を設計する。 そのような次元不重要行列は、初期摂動の各次元の逆不重要度を示すことができる。 さらに,次元不重要行列に対する逆しきい値の新しい概念を導入する。 しきい値よりも重要でない初期摂動の次元は、全てゼロに設定され、$L_0$-normの歪みは大幅に減少する。 3つのベンチマークデータセットによる実験結果から, 提案手法が生成した逆数例は, 現状よりもL_0$-norm, $L_2$-normの歪みが低いことがわかった。 特にMNISTデータセットの場合、攻撃は8.1$\%$$L_2$-norm歪みを減らし、47$\%$ピクセルは未攻撃のままである。 このことは、対向的堅牢性と視覚的不受容性の観点から、提案手法が競合相手よりも優れていることを示す。

関連論文リスト

• $\sigma$-zero: Gradient-based Optimization of $\ell_0$-norm Adversarial Examples [12.154652744262476]
  Sigma-zeroは、時間を要するハイパーセルチューニングを必要とせず、最小$ell_infty$-normの例を見つけ、成功、サイズ、堅牢性の点で競合するすべての攻撃を上回ります。
  論文  参考訳（メタデータ） (2024-02-02T20:08:11Z)
• Robust Nonparametric Regression under Poisoning Attack [13.470899588917716]
  敵攻撃者は、$N$のトレーニングデータセットから最大$q$のサンプル値を変更することができる。 初期解法はハマー損失最小化に基づくM推定器である。 最後の見積もりは、任意の$q$に対してほぼ最小値であり、最大$ln N$ factorまでである。
  論文  参考訳（メタデータ） (2023-05-26T09:33:17Z)
• PDPGD: Primal-Dual Proximal Gradient Descent Adversarial Attack [92.94132883915876]
  最先端のディープニューラルネットワークは、小さな入力摂動に敏感である。 対向騒音に対するロバスト性を改善するための多くの防御法が提案されている。 敵の強靭さを評価することは 極めて困難であることが分かりました
  論文  参考訳（メタデータ） (2021-06-03T01:45:48Z)
• Fast Minimum-norm Adversarial Attacks through Adaptive Norm Constraints [29.227720674726413]
  異なる$ell_p$-norm摂動モデルで動作する高速最小ノルム(FMN)攻撃を提案する。 実験の結果、FMNは収束速度と時間において既存の攻撃よりも著しく優れていた。
  論文  参考訳（メタデータ） (2021-02-25T12:56:26Z)
• Towards Defending Multiple $\ell_p$-norm Bounded Adversarial Perturbations via Gated Batch Normalization [120.99395850108422]
  既存の敵防衛は、個々の摂動に対するモデル堅牢性を改善するのが一般的である。 最近の手法では、複数の$ell_p$球における敵攻撃に対するモデルロバスト性を改善するが、各摂動型に対するそれらの性能は、まだ十分ではない。 我々は,複数の$ell_pの有界摂動を守るために,摂動不変予測器を逆向きに訓練するGated Batch Normalization (GBN)を提案する。
  論文  参考訳（メタデータ） (2020-12-03T02:26:01Z)
• Almost Tight L0-norm Certified Robustness of Top-k Predictions against Adversarial Perturbations [78.23408201652984]
  トップk予測は、マシンラーニング・アズ・ア・サービス、レコメンダ・システム、Web検索など、多くの現実世界のアプリケーションで使用されている。 我々の研究はランダム化平滑化に基づいており、入力をランダム化することで、証明可能なロバストな分類器を構築する。 例えば、攻撃者がテスト画像の5ピクセルを任意に摂動できる場合に、ImageNet上で69.2%の認定トップ3精度を達成する分類器を構築することができる。
  論文  参考訳（メタデータ） (2020-11-15T21:34:44Z)
• GreedyFool: Distortion-Aware Sparse Adversarial Attack [138.55076781355206]
  現代のディープニューラルネットワーク(DNN)は、敵のサンプルに対して脆弱である。 スパース逆数サンプルは、数ピクセルだけを摂動させることでターゲットモデルを騙すことができる。 GreedyFoolと呼ばれる2段階の歪みを考慮したグリーディ法を提案する。
  論文  参考訳（メタデータ） (2020-10-26T17:59:07Z)
• Sharp Statistical Guarantees for Adversarially Robust Gaussian Classification [54.22421582955454]
  逆向きに頑健な分類の過剰リスクに対する最適ミニマックス保証の最初の結果を提供する。 結果はAdvSNR(Adversarial Signal-to-Noise Ratio)の項で述べられており、これは標準的な線形分類と逆数設定との類似の考え方を一般化している。
  論文  参考訳（メタデータ） (2020-06-29T21:06:52Z)
• Toward Adversarial Robustness via Semi-supervised Robust Training [93.36310070269643]
  アドリラルな例は、ディープニューラルネットワーク(DNN)に対する深刻な脅威であることが示されている。 R_stand$ と $R_rob$ の2つの異なるリスクを共同で最小化することで、新しい防御手法であるロバストトレーニング(RT)を提案する。
  論文  参考訳（メタデータ） (2020-03-16T02:14:08Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。